iamfunky Opublikowano 15 Lipca 2016 Zgłoś Udostępnij Opublikowano 15 Lipca 2016 Cześć potrzebuje pomocy. Jakoś dwa, trzy dni temu chciałam sobie ściągnąć program do edycji filmów wideo w związku z zakupem kamerki, postanowiłam pobrać ów program z torrentów i skończyło się tragicznie. Próbowałam zaradzić własnymi siłami posługując się między innymi - ESET online scanner , malwarebytes Anti - malware , adwcleaner , Zemma antimalware , Rkiller i jeszcze inne. Czyściłam rejestr i usuwałam pliki przeglądarki za pomocą Ccleaner. Pierwsze objawy zawirusowania to wyskakujące reklamy na pulpicie. po przeskanowaniu eset online scanner stwierdził, że to coś o nazwie "SoundSpacePro" , potem wykrywało jakieś foldery związane z nazwą Lezase_ i kuaizip którego chyba się pozbyłam, w związku z tym że nie mogę sobie poradzić z tymi infekcjami zwracam się z prośbą o pomoc, poniżej logi GMER oraz FRST. Logi poniżej: Addition.txt FRST.txt GMERLOG.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2016 Zgłoś Udostępnij Opublikowano 15 Lipca 2016 W raportach nie widać żadnych aktywnych infekcji adware, do czyszczenia tylko wpisy szczątkowe. 1. Klawisz z flagą Windows + X > odinstaluj zbędny program HP Customer Participation Program 14.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-4241658497-3624425046-3709114523-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130932014023261915&GUID=52C0F3C7-E233-4B73-9CF5-9BAF2B5D37F5 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-4241658497-3624425046-3709114523-1002 -> DefaultScope {2D52AFF7-2C9D-4A72-8D41-5FF65727ED51} URL = Task: {5B1242EB-5E1B-4A1A-AFE0-B07AEF774D77} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {60C1A2C2-7E2F-476E-968C-01CFDCABE12E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {6f99713c-1c30-4115-8320-ca871f79be10} - Brak ścieżki do pliku Task: {7339899A-2D7F-4352-BCE7-8EB7076C2617} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7E2A0553-6335-4894-B229-FC00821B801F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {830184A2-F4C5-4023-9F3F-E6E814251014} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {98EFFE7D-148D-4310-9889-50B8B5F6386B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {9D59A418-CD65-4227-BA78-5E88C52EAA0B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2012-08-08] (Lenovo) Task: {B55B9066-F6DA-4DBF-8053-808EBF55CC92} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {BE3147D9-9E0D-4140-AF97-65E4F53CC059} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {C4E53FD1-F49E-4AD8-A752-07FF32900DF8} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {D6156A66-70BA-4775-9941-4E5844B83B35} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E0A9F390-2741-4EE2-85AB-E89E2FB66D93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Amazon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\USB大师 C:\Users\Monika\AppData\Local\atekoshjupwardanikadom C:\Users\Monika\AppData\Roaming\*.* C:\Users\Monika\AppData\Roaming\ZWfaXAYhTaIC C:\Users\Monika\AppData\Roaming\KZMount C:\Users\Monika\AppData\Roaming\Softlink C:\Users\Monika\AppData\Roaming\tmp C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\WINDOWS\system32\MONIKA_Monika_HistoryPrediction.bin C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\kz.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wg raportu domyślną i zainstalowaną przeglądarką jest Google Chrome, tylko że FRST w ogóle nie wykrył profilu przeglądarki na dysku, co sugeruje że coś jest uszkodzone. Przeinstaluj Google Chrome wg tych kroków: Zresetuj synchronizację (o ile włączona): KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję Google Chrome. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Opisz dokładnie co siędzieje, czy coś wymaga jeszcze interwencji. Odnośnik do komentarza
iamfunky Opublikowano 15 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2016 Żadnych podejrzanych zmian. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2016 Zgłoś Udostępnij Opublikowano 15 Lipca 2016 Wszystko zrobione, ale w logu nadal brak detekcji profilu Chrome, co w połączeniu z innymi śladami w raporcie mówi mi, że Chrome nie zostało już ponownie zainstalowane. Na koniec: 1. Jeśli Chrome nie będzie już instalowane, przez SHIFT+DEL (omija Kosz) skasuj z dysku foldery Google: C:\Program Files (x86)\Google C:\Users\Monika\AppData\Local\Google Dodatkowo upłynnij folder FRST z Pulpitu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. GMER i jego log dokasuj ręcznie. Odnośnik do komentarza
Rekomendowane odpowiedzi